State Partitioning

Browser ordnen traditionell den clientseitigen Zustand nach dem Ursprung (oder manchmal der registrierbaren Domäne) der URL, von der ein Ressourcenaufruf geladen wurde. Beispielsweise werden die Cookies, localStorage-Objekte und Caches, die in einem iframe geladen von https://example.com/hello.html verfügbar sind, von example.com aufgezeichnet. Dies gilt unabhängig davon, ob der Browser derzeit Ressourcen von dieser Domäne als First-Party-Ressource oder als eingebettete Third-Party-Ressource lädt. Verfolger haben diesen Zustand genutzt, um Benutzerkennungen zu speichern und auf sie über Websites hinweg zuzugreifen. Das folgende Beispiel zeigt, wie example.com seinen Zustand (in diesem Fall Cookies) verwenden kann, um einen Benutzer sowohl auf seiner eigenen Website als auch auf A.example und B.example zu verfolgen.

Die bisherigen Cookie-Richtlinien von Firefox versuchen, die Verfolgung zu mildern, indem der Zugriff auf einige Speicher-APIs (z. B. Cookies und localStorage) für bestimmte Domänen unter bestimmten Bedingungen blockiert wird. Zum Beispiel verhindert unsere "Alle Third-Party-Cookies blockieren"-Richtlinie, dass alle Domänen auf bestimmte Speicher-APIs zugreifen können, wenn sie in einem Drittparteikontext geladen werden. Unsere aktuelle Standard-Cookie-Richtlinie blockiert den Zugriff in einem Drittparteikontext nur für als Verfolger klassifizierte Domänen.

State Partitioning ist ein anderer Ansatz zur Verhinderung der Verfolgung über Websites hinweg. Anstatt den Zugriff auf bestimmte zustandsbehaftete APIs im Drittparteikontext zu blockieren, bietet Firefox eingebetteten Ressourcen einen separaten Speicherbereich für jede oberste Website. Genauer gesagt, doppelschreibt Firefox den gesamten clientseitigen Zustand nach dem Ursprung der geladenen Ressource und der obersten Website. In den meisten Fällen ist die oberste Website das Schema und die eTLD+1 der von der Benutzerin oder dem Benutzer besuchten obersten Seite.

Im folgenden Beispiel ist example.com in A.example und B.example eingebettet. Da der Speicher partitioniert ist, gibt es jedoch drei verschiedene Speicherbereiche (anstatt einen). Der Verfolger kann weiterhin auf den Speicher zugreifen, aber da jeder Speicherbereich zusätzlich unter der obersten Website aufgezeichnet wird, sind die Daten, die auf A verfügbar sind, anders als die auf B. Dies wird verhindern, dass ein Verfolger einen Bezeichner in seinen Cookies speichert, wenn er direkt besucht wird, und dann diesen Bezeichner abruft, wenn er auf anderen Websites eingebettet ist.

Die Privacy Community Group hat ein Arbeitselement für die Client-Side Storage Partitioning. Dies bietet einen Überblick über die Standardisierungsbemühungen für die Partitionierung von Speicher in den einzelnen betroffenen Standards. Wir beabsichtigen, unsere Implementierung der Zustandspartitionierung mit diesen Bemühungen in Einklang zu bringen, sobald das Arbeitselement standardisiert ist.

• Netzwerk-Partitionierung: Seit Firefox 85 standardmäßig für alle Benutzer aktiviert.
• Dynamische Partitionierung: Seit Firefox 103 standardmäßig für alle Benutzer aktiviert. Davor:
  • Seit Firefox 86: Aktiviert für Benutzer mit aktivierten "Strengen" Datenschutzmaßnahmen.
  • Seit Firefox 90: Aktiviert im privaten Browsing.

Um die Verwendung von JavaScript-erschwinglichen Speicher-APIs für die Verfolgung über Website-Grenzen hinweg zu verhindern, wird der zugängliche Speicher nach der obersten Website partitioniert. Dieser Mechanismus bedeutet, dass im Allgemeinen ein Dritter, der in einer obersten Website eingebettet ist, nicht auf unter einer anderen obersten Website gespeicherte Daten zugreifen kann.

• localStorage
• sessionStorage
• DOM Cache
• IndexedDB
• Broadcast Channel
• Shared Workers
• Service Workers

Netzwerkbezogene APIs sind nicht dazu bestimmt, von Websites für die Datenspeicherung genutzt zu werden, können aber missbraucht werden, um Verfolgung über Websites hinweg durchzuführen. Aus diesem Grund sind die folgenden Netzwerk-APIs und Caches permanent nach der obersten Website partitioniert.

• HTTP Cache
• Bild-Cache
• Favicon-Cache
• Verbindungs-Pooling
• Stylesheet-Cache
• DNS
• HTTP-Authentifizierung
• Alt-Svc
• Spekulative Verbindungen
• Schriften & Schrift-Cache
• HSTS
• OCSP
• Intermediate CA Cache
• TLS-Client-Zertifikate
• TLS-Sitzungs-IDs
• Prefetch
• Preconnect
• CORS-preflight Cache
• WebRTC deviceID

Allgemein gilt, wenn zugänglicher Speicher nach der obersten Website partitioniert ist, kann dennoch Zugriff auf die unpartitionierten Cookies eines Dritten gewährt werden, wenn die Storage Access API unterstützt wird:

• unter Verwendung der Storage Access API.
• automatisch, wie etwa für Dritte, die föderiertes Login bereitstellen.

Details zu automatischen Genehmigungen finden Sie im Abschnitt Heuristiken für den Speicherzugang.

• Cookies

Um die Webkompatibilität zu verbessern, enthält Firefox derzeit einige Heuristiken, um unpartitionierten Zugriff auf Cookies automatisch an Dritte zu gewähren, die Benutzerinteraktionen erhalten. Diese Heuristiken sollen es einigen auf dem Web verbreiteten Dritte-Integration erlauben, weiterhin zu funktionieren.

Heuristiken für Fenster, die mit dem öffnenden Fenster verbunden sind

• Wenn ein partitionierter Drittanbieter ein Pop-up-Fenster öffnet, das Zugriff auf den öffnenden Dokumenten hat, wird diesem Dritten für 30 Tage Speicherzugriff auf seinen Einbettungskontext gewährt.
• Wenn eine First-Party a.example ein Drittparteien-Pop-up b.example öffnet, wird b.example für 30 Tage Drittparteien-Speicherzugang zu a.example gewährt.

Redirect-Heuristiken

• Wenn eine Website b.example zu a.example umleitet, erhält b.example Speicherzugang zu seinem Einbettungskontext a.example, wenn sowohl a.example als auch b.example innerhalb der letzten 10 Minuten besucht und interagiert wurden. Dieser Speicherzugang wird für 15 Minuten gewährt.
• Wenn ein Verfolger tracker.example (wie von der erweiterten Verfolgungsschutzfunktion klassifiziert) zu einer nicht verfolgenden a.example umleitet und tracker.example in den letzten 45 Tagen als First-Party eine Benutzerinteraktion erhalten hat, wird tracker.example für 15 Minuten Speicherzugang zu a.example gewährt.

Drittanbieterrahmen können die document.requestStorageAccess verwenden, um durch die Storage Access API unbegrenzten Zugang zu Cookies anzufordern. Nachdem dies genehmigt wurde, erhält die anfragende Partei Zugang zu ihren gesamten First-Party-Cookies (d. h. den Cookies, auf die sie zugreifen hätte, wenn sie als First-Party besucht wäre).

Wir ermutigen Website-Besitzer, ihre Sites zu testen, insbesondere jene, die auf Inhaltsintegration von Drittanbietern angewiesen sind. Es gibt mehrere Funktionen in Firefox, die das Testen erleichtern.

Hier ist eine Übersicht der Nachrichten, die in der Webkonsole protokolliert werden, wenn mit Speicher in einem Drittparteikontext interagiert wird. In den folgenden Beispielen ist a.example die oberste Website, die den Drittanbieterrahmen b.example einbettet.

Wenn ein Drittanbieter-iframe Speicherzugriff auf den übergeordneten Kontext gewährt wird, setzt Firefox eine Erlaubnis. Um den Zugriff zu widerrufen, können Sie die Erlaubnis über das Site-Informationsfenster im Bereich "Berechtigungen" unter "Website-übergreifende Cookies" löschen.

Deaktivieren von Webkompatibilitäts-Features

Die Einstellung privacy.antitracking.enableWebcompat auf false wird alle ETP- und State Partitioning-Webkompatibilitätsfunktionen deaktivieren. Das Deaktivieren dieser Funktionen kann beim Testen nützlich sein, um sicherzustellen, dass Ihre Website vollständig mit dem State Partitioning-Mechanismus in Firefox kompatibel ist und nicht auf temporäre Heuristiken angewiesen ist.

Funktionen, die durch die Voreinstellung deaktiviert werden, umfassen:

• Heuristiken für den Speicherzugang: Unpartitionierter Zugriff auf Cookies kann nur über die Storage Access API erworben werden.
• Automatische Speicherzugangsgewährungen: document.requestStorageAccess wird den Benutzer immer auffordern.
• SmartBlock's "Entsperren bei Opt-in"-Feature, das bestimmten Verfolgern erlaubt, wenn Benutzer mit ihnen interagieren.
• Jegliche temporäre Verfolgungsschutz-Ausnahmen, die Websites über den Skip-Listing-Mechanismus gewährt wurden.

Heuristiken deaktivieren

Mit den folgenden Voreinstellungen können einzelne Heuristiken für den Speicherzugang über den Konfiguration Editor deaktiviert werden:

• Aktivieren / Deaktivieren der Redirect-Heuristiken: privacy.restrict3rdpartystorage.heuristic.recently_visited, privacy.restrict3rdpartystorage.heuristic.redirect
• Aktivieren / Deaktivieren der Fenster öffnen Heuristiken: privacy.restrict3rdpartystorage.heuristic.window_open, privacy.restrict3rdpartystorage.heuristic.opened_window_after_interaction

Netzwerkpartitionierung deaktivieren

Die Netzwerkpartitionierung kann mit der Voreinstellung privacy.partition.network_state deaktiviert werden.

Dynamische Zustandspartitionierung deaktivieren

Um die dynamische Speicherpartitionierung für alle Websites zu deaktivieren, können Sie die Voreinstellung network.cookie.cookieBehavior verwenden:

Bestimmte Ursprünge von der Partitionierung ausnehmen

Die dynamische Zustandspartitionierung kann auch für bestimmte Ursprünge mit der privacy.restrict3rdpartystorage.skip_list Voreinstellung deaktiviert werden. Diese Voreinstellung enthält eine durch Kommas getrennte Liste der Zwecke, die ausgenommen werden sollen. Der Wert sollte dem folgenden Format folgen: first-party_origin_1,third-party_origin_1;first-party_origin_2,third-party_origin_2;....

Um zum Beispiel die Partitionierung für tracker.example auf example.com oder social.example auf news.example zu deaktivieren, würden Sie die Voreinstellung auf den folgenden Wert setzen:

https://example.com,https://tracker.example;https://news.example,https://social.example

Sie können * als Platzhalter für entweder die erste oder dritte Partei verwenden. Um zum Beispiel die Partitionierung für videos.example auf allen Seiten zu deaktivieren oder um die gesamte Partitionierung auf unpartitioned.example zu deaktivieren, würden Sie die Voreinstellung auf den folgenden Wert setzen:

*,https://videos.example;unpartitioned.example,*